假wps vt1

显示全部楼层 · 发表于 21 小时前

https://wormhole.app/eEDAz0#37Pj2FPEm-rfW5MKYGh68g

https://www.virustotal.com/gui/f ... 8d28b578aac/summary

last-modified: Sun, 15 Feb 2026 18:06:55 GMT
昨天凌晨两点的东西

来源
wps9[.]com -> 6x[.]org -> 目标
wps后面的数字也可以是1，应该是批量注册的wps#[.]com域名，需要有特定搜索引擎的来源才能打开。
6x那个是短链接，由wps#通过算法生成（sign=MD5(salt + "&" + timestamp + "&" + domain) 目前salt="and")，但目前不同的域名最后跳转到的是相同的链接。

显示全部楼层 · 发表于 21 小时前

本帖最后由 WGC_ZY 于 2026-2-18 01:18 编辑

ESSP：
Scan Log
Version of detection engine: 32704 (20260217)
Date: 2/17/2026 Time: 10:44:36 PM
Scanned disks, folders and files: C:\Users\Zhang\Downloads\wps\OIRUSJCJW_WPScoe_otrsc.exe
C:\Users\Zhang\Downloads\wps\OIRUSJCJW_WPScoe_otrsc.exe » NSIS » WPS.exe » NSIS » ___ - a variant of Win32/KingSoft_AGen.BJ potentially unwanted application - cleaned by deleting [1]
C:\Users\Zhang\Downloads\wps\OIRUSJCJW_WPScoe_otrsc.exe » NSIS » nw_elf.dll - a variant of Win32/Agent_AGen.GNN trojan - cleaned by deleting [1]
C:\Users\Zhang\Downloads\wps\OIRUSJCJW_WPScoe_otrsc.exe » NSIS » nw_elf.dll - a variant of Win32/Agent.AIHB trojan - cleaned by deleting [1]

Number of scanned objects: 43
Number of detections: 3
Number of cleaned objects: 3
Time of completion: 10:45:52 PM Total scanning time: 76 sec (00:01:16)

Notes:
[1] Object has been deleted as it only contained the virus body.（虽然有一个是PUA，不过也扫出恶意dll了）

卡巴扫描也kill：

显示全部楼层 · 发表于 21 小时前

360扫描miss

显示全部楼层 · 发表于 20 小时前

AVG kill

显示全部楼层 · 发表于 10 小时前

安天杀衍生物，奇安信扫描杀

显示全部楼层 · 发表于 8 小时前

显示全部楼层 · 发表于 3 小时前

组合技

就是卡巴率先回滚的文件后面会被BD抢夺，我看看能不能优化下

显示全部楼层 · 发表于 6 分钟前

腾讯电脑管家18
ver:20260218

---------------------
2026-2-18 21:32:50 MD5:21edf4a55b56678926cb82b281fb798b
wps\OIRUSJCJW_WPScoe_otrsc.exe [Win32.Trojan.FalseSign.Fmnw]
---------------------

[病毒样本] 假wps vt1

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源